虛擬化在IT領(lǐng)域中所覆蓋的范圍很廣。在“一個(gè)應(yīng)用，一個(gè)服務(wù)器”這一規(guī)則引領(lǐng)多年后，IT架構(gòu)的容量已經(jīng)不再能滿足需求，而且也不具有成本效益。隨著虛擬化的興起，以及在單個(gè)服務(wù)器上托管多個(gè)虛擬機(jī)的趨勢(shì)，很多與之相關(guān)的問題也顯現(xiàn)出來(lái)。

由于多個(gè)虛擬機(jī)可以放到單個(gè)服務(wù)器上，IT組織就可以確定該機(jī)器的處理能力被分配到了多個(gè)應(yīng)用上。通常以單個(gè)字節(jié)來(lái)衡量的利用率可增加到70%甚至更多，這樣就確保了高成本，低利用率服務(wù)器上的浪費(fèi)情況比較少。

虛擬化的轉(zhuǎn)變也經(jīng)歷了所謂的“虛擬化停滯”。這是指許多企業(yè)在對(duì)25%的服務(wù)器完成虛擬化后，就停止了虛擬化的步伐。

當(dāng)你研究造成這種現(xiàn)象的原因時(shí)，通常回發(fā)現(xiàn)這種虛擬化只是將所有簡(jiǎn)單的服務(wù)器進(jìn)行虛擬化操作(例如，dev機(jī)器或低風(fēng)險(xiǎn)的內(nèi)部IT應(yīng)用，如DNS)但是沒能成功對(duì)其生產(chǎn)應(yīng)用進(jìn)行虛擬化操作。

造成這種停滯的原因很多，但是其中很重要的一點(diǎn)就是安全因素。安全團(tuán)隊(duì)不確定要如何將為物理環(huán)境設(shè)計(jì)的實(shí)例應(yīng)用到虛擬環(huán)境中。雖然存在這樣的疑惑，但是其方向還是明確的：安全實(shí)例必須得到更新以打破虛擬化停滯不前的僵局。

下面是虛擬化過(guò)程中，安全組織面臨的三個(gè)最常見問題：

1、網(wǎng)絡(luò)流量可視性的缺乏

許多安全組織用監(jiān)控網(wǎng)絡(luò)流量的方式來(lái)識(shí)別和攔截惡意流量以及滲透。供應(yīng)商也發(fā)布了專用裝置來(lái)執(zhí)行監(jiān)控以減輕安裝和配置過(guò)程中的壓力。將這些裝置安裝到網(wǎng)絡(luò)上就如同安裝到另一個(gè)服務(wù)器上一樣，只需啟用這些裝置然后以小時(shí)或以日為單位來(lái)運(yùn)行。這種方法簡(jiǎn)化了安全實(shí)例的執(zhí)行過(guò)程，而且是硬件受限的安全團(tuán)隊(duì)和IT運(yùn)營(yíng)團(tuán)隊(duì)的福音。

只是，這種方法在虛擬環(huán)境的應(yīng)用還存在一個(gè)問題。同一個(gè)服務(wù)器上的不同虛擬機(jī)都是通過(guò)hypervisor的內(nèi)聯(lián)網(wǎng)來(lái)溝通，安全裝置所在的物理網(wǎng)絡(luò)上沒有數(shù)據(jù)包傳輸。當(dāng)然，如果虛擬機(jī)被放置到不同服務(wù)器上，那么內(nèi)部虛擬機(jī)流量就會(huì)在其網(wǎng)絡(luò)上傳輸，從而可以被檢測(cè)到。不過(guò)，出于性能方面的考慮，與相同應(yīng)用相關(guān)聯(lián)的虛擬機(jī)(例如，一個(gè)應(yīng)用的Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器)通常都位于同一個(gè)物理服務(wù)器上。

幸好，供應(yīng)商已經(jīng)想到辦法解決這個(gè)問題。虛擬化供應(yīng)商已經(jīng)在其hypervisor中放入了hook，而思科和Arista等網(wǎng)絡(luò)供應(yīng)商已經(jīng)習(xí)慣將其與虛擬機(jī)合用，以此實(shí)現(xiàn)流量監(jiān)測(cè)。所以，這個(gè)問題也變得不再糾結(jié)，盡管它要求升級(jí)到目前的網(wǎng)絡(luò)交換方法，而且安全產(chǎn)品也要較新的模式。你可以將這話理解為需要更多的資金投入。不過(guò)，單單缺乏可視性還不足以讓企業(yè)推遲生產(chǎn)應(yīng)用的虛擬化操作。

2、性能對(duì)安全經(jīng)費(fèi)的影響

在單個(gè)服務(wù)器上支持多個(gè)虛擬機(jī)的好處對(duì)于服務(wù)器制造商而言已經(jīng)變得非常明顯，他們也隨之修改了自己的服務(wù)器設(shè)計(jì)。和以前能支持五個(gè)虛擬機(jī)的的1U機(jī)器不同，現(xiàn)在的4U刀片服務(wù)器具備幾百G的緩存和大量網(wǎng)卡。因此，服務(wù)器現(xiàn)在通常可支持25或50個(gè)虛擬機(jī)。成本效益和利用率非常高，但是在單個(gè)服務(wù)器上托管如此多的虛擬機(jī)也可能導(dǎo)致其他問題。

每個(gè)服務(wù)器只管理自己的安全產(chǎn)品，由此便導(dǎo)致了一些常見問題。典型的例子就是反病毒。在許多IT組織中，每個(gè)服務(wù)器都是同時(shí)更新自己的反病毒簽名，這樣就導(dǎo)致25或50個(gè)虛擬機(jī)同時(shí)發(fā)布相同操作。所以會(huì)導(dǎo)致傳輸量降低，從而影響服務(wù)器性能。

幸好，有新的技術(shù)性方案可用。第一，就好比虛擬化供應(yīng)商開放API，允許網(wǎng)絡(luò)供應(yīng)商整合到hypervisor，他們現(xiàn)在也開放了API讓安全公司推出不需要安裝到每個(gè)虛擬機(jī)上的新產(chǎn)品。相反，這類產(chǎn)品本身就是虛擬機(jī)。

當(dāng)hypervisor意識(shí)到流量需要調(diào)用一個(gè)反病毒項(xiàng)目的時(shí)候，就會(huì)把調(diào)用轉(zhuǎn)發(fā)到虛擬機(jī)的反病毒軟件上，再由虛擬機(jī)執(zhí)行掃描。這樣就避免了25臺(tái)機(jī)器同時(shí)進(jìn)行反病毒操作，一臺(tái)虛擬機(jī)代表25臺(tái)機(jī)器運(yùn)行反病毒顯然是更好的方法。

或許你猜得到第二個(gè)方法是以云為基礎(chǔ)。類似對(duì)文檔的重復(fù)反病毒掃描等操作需要發(fā)布成千上萬(wàn)個(gè)反病毒簽名文件，為什么不讓上百萬(wàn)端點(diǎn)調(diào)用一個(gè)位于中央位置的以云為基礎(chǔ)的方案呢?供應(yīng)商可以確保其有足夠的資源來(lái)控制流量，而用戶則可以避免性能方面的問題，且不需要在安全軟件方面投入更多資本。這種方法帶來(lái)了顯著效益，而且我們?cè)诓痪玫膶?lái)會(huì)聽到更多以云為基礎(chǔ)的安全方案。

3、周邊被破壞

一月在華盛頓特區(qū)召開的安全威脅會(huì)議上談到的一個(gè)主題就是認(rèn)為自己的周邊不會(huì)被滲透的想法是愚蠢的。有組織犯罪團(tuán)體的崛起以及幕后有政府支持的黑客都使得這種定向攻擊極其復(fù)雜。

互聯(lián)網(wǎng)安全聯(lián)盟CEOLarryClinton提供了一些有關(guān)安全威脅及其影響的統(tǒng)計(jì)數(shù)據(jù)，統(tǒng)計(jì)結(jié)果令人感到害怕。簡(jiǎn)而言之，目前的安全方法都不能滿足需求。不法分子可以安裝長(zhǎng)期運(yùn)行的僵尸程序，令其對(duì)服務(wù)器的數(shù)據(jù)進(jìn)行篩選，從而識(shí)別和竊取重要數(shù)據(jù)。也可以理解為我們所說(shuō)的APT。

那該如何是好?

當(dāng)然，可以整合專門的安全產(chǎn)品層來(lái)解決APT威脅。新舊供應(yīng)商都想向你售賣針對(duì)APT的安全產(chǎn)品。筆者并非貶低這些產(chǎn)品，只是這類威脅會(huì)增加安全實(shí)例在個(gè)人服務(wù)器或VM級(jí)別(換言之是安全在實(shí)例級(jí)別)的重要性，你應(yīng)該進(jìn)行整體監(jiān)控并使用入侵防御系統(tǒng)。

將這些產(chǎn)品都放到一個(gè)虛擬機(jī)上與“把安全放到虛擬機(jī)外”的方法不相符，當(dāng)然，也有更好的想法：只能在機(jī)器上執(zhí)行的安全應(yīng)該位于機(jī)器上，同時(shí)可通過(guò)若干機(jī)器共享的安全應(yīng)該遷移到中心位置。安全工作向來(lái)就是平衡各方面的利弊。

小結(jié)：虛擬化經(jīng)濟(jì)意味著這種運(yùn)算模式有望得到廣泛傳播，想要阻止這種趨勢(shì)的人猶如螳臂當(dāng)車。

原文鏈接：http://www.computerworld.com/s/article/9224979/3_key_issues_for_secure_virtualization?taxonomyId=17